WAPI无线局域网新安全机制
- [10-10 23:22:12] 来源:http://www.85jc.com 网络故障 阅读:8660次
概要:无线应用 今年5月12日发布、12月1日强http://www.85jc.com制执行的无线局域网(WLAN)国家标准中,最引人注目的就是由宽带无线IP标准工作组制定的新的安全机制WAPI。它到底能否更为有效地保障WLAN的安全呢新机制也同时再次引发了业界对WLAN现有安全机制的重新思考。 在7月9日的WLAN国家标准宣贯会上,宽带无线IP标准工作组秘书长黄振海博士指出,国家标准与国际标准的差异主要在于安全问题和无线电频率管理问题,而新安全机制WAPI(无线局域网鉴别和保密基础结构)还同时体现了国家标准的先进性。 安全是重中之重 安全性对于WLAN来说可谓老生常谈,自它诞生之日起,与其灵活便捷的优势共存的就是安全漏洞这个挥之不去的阴影。在国外,因此出现的安全问题屡见不鲜,并导致很多安全纠纷。据统计,不愿采用WLAN的理由中,安全问题高居第一位,达40%以上,已经成为阻碍WLAN进入信息化应用领域的最大障碍。现有的安全机制由于不能提供足够安全的基础建设模块,让解决WLAN安全成本的负担转移到整个WLAN价值链上的产品制造厂商、系
WAPI无线局域网新安全机制,标签:网络故障解决,网络故障排除,http://www.85jc.com
无线应用
今年5月12日发布、12月1日强http://www.85jc.com制执行的无线局域网(WLAN)国家标准中,最引人注目的就是由宽带无线IP标准工作组制定的新的安全机制WAPI。它到底能否更为有效地保障WLAN的安全呢新机制也同时再次引发了业界对WLAN现有安全机制的重新思考。
在7月9日的WLAN国家标准宣贯会上,宽带无线IP标准工作组秘书长黄振海博士指出,国家标准与国际标准的差异主要在于安全问题和无线电频率管理问题,而新安全机制WAPI(无线局域网鉴别和保密基础结构)还同时体现了国家标准的先进性。
安全是重中之重
安全性对于WLAN来说可谓老生常谈,自它诞生之日起,与其灵活便捷的优势共存的就是安全漏洞这个挥之不去的阴影。在国外,因此出现的安全问题屡见不鲜,并导致很多安全纠纷。据统计,不愿采用WLAN的理由中,安全问题高居第一位,达40%以上,已经成为阻碍WLAN进入信息化应用领域的最大障碍。现有的安全机制由于不能提供足够安全的基础建设模块,让解决WLAN安全成本的负担转移到整个WLAN价值链上的产品制造厂商、系统集成商和用户,这种不合理的成本转嫁使市场上产生了多种安全安装解决方案,而最终用户为了能够实施设备厂商提供的多种安全安装方案而不断付出更多的安全成本。国际标准为此采用了WEP、WPA、802.11x、802.11i、VPN等方式试图保证WLAN安全,但它们要么只是将有线局域网安全机理通过技术转接到WLAN上,要么在技术上很容易被破译。安全问题似乎成了WLAN心中永远的痛。WAPI的出现再次引发了业界对WLAN现有安全机制的重新思考。
基本安全方式面临取代
业务组标识符(SSID)和物理地址(MAC)过滤是目前WLAN最基本的安全方式,但它们在技术上易于被攻破,正逐步被新的安全方式所取代。
业务组标识符(SSID)
它需要无线客户端出示正确的SSID才能访问无线接入点AP,因此可以认为SSID是一个简单的口令。然而无线接入点AP向外广播其SSID,使安全程度下降。另外,一般情况下,用户自己配置客户端系统,所以很多人都知道该SSID,很容易共享给非法用户。 标准工作组还表示:有的厂家支持“任何”SSID方式,只要无线客户端处在AP范围内,它都会自动连接到AP,这将绕过SSID的安全功能。
物理地址(MAC)过滤
它属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必需随时更新,目前都是手工操作,扩展能力差,因此只适合小型网络规模。另外,非法用户利用网络侦听手段很容易窃取MAC地址。
802.11有技术缺陷
IEEE802.11包括认证和加密等方面,利用认证与加密的安全漏洞,在短至几分钟的时间内,就可以破解密钥。
共享密钥认证
基于WEP的共享密钥认证的目的就是实现访问控制,然而其认证信息易于伪造。因为共享密钥认证是通过加密认证质询文本来证明自己知晓共享密钥,如果攻击者监听到认证应答,则可以确定用于加密应答的RC4密码流。因此,通过监听一次成功的认证,攻击者就可以伪造认证。标准工作组认为:启动共享密钥认证实际上降低了网络的总体安全性,使猜中WEP密钥更为容易。
WAPI:充分考虑市场应用
有线等效保密(WEP)
WEP的目标是为WLAN提供与有线网络相同级别的安全保护。WEP在链路层采用RC4对称加密技术,虽然通过加密提供无线网络的安全性,标准工作组也指出了它的许多缺陷:
缺少密钥管理。用户的加密密钥必须与AP的密钥相同,并且一个服务区内的所有用户都共享同一把密钥。WEP中没有规定共享密钥的管理方案,通常是手工进行配置与维护。由于同时更换密钥的费时与困难,所以密钥通常很少更换,倘若一个用户丢失密钥,则会殃及到整个网络。
ICV算法不合适。WEP ICV是一种基于CRC-32的用于检测传输噪音和普通错误的算法。CRC-32是信息的线性函数,这意味着攻击者可以篡改加密信息,并很容易地修改ICV。
RC4算法存在弱点。在RC4中,人们发现了弱密钥。攻击者收集到足够的使用弱密钥的包后,就可以对它们进行分析,只须尝试很少的密钥就可以接入到网络中。
802.1x不能解决根本
在采用认证端口访问控制技术(IEEE802.1x)的WLAN中,无线用户端安装802.1x客户端软件,AP内嵌802.1x认证代理,同时它还作为RADIUS服务器的客户端,负责用户与RADIUS服务器之间认证信息的转发。
标准工作组表示, 802.1x并不是专为WLAN设计的,没有考虑到无线应用的特点。它提供客户端与RADIUS服务器之间的认证,而不是与AP之间的认证。采用的用户认证信息仅仅是用户名与口令,在存储、使用和认证信息传递中存在很大安全隐患,如泄漏、丢失。AP与RADIUS服务器之间基于共享密钥完成认证过程协商出的会话密钥的传递,该共享密钥为静态,人为手工管理,存在一定的安全隐患。
[1] [2] 下一页
Tag:网络故障,网络故障解决,网络故障排除,电脑学习 - 电脑故障维修 - 网络故障
上一篇:防火墙合理配置和管理的策略
